阿里云優(yōu)惠券 先領券再下單
在“萬物皆可API”的時代���,通過API快速構建產品和服務���、迅速響應客戶需求已是數字化企業(yè)的必備技能��。但同時���,API承載著越來越復雜的應用程序邏輯和越來越多敏感數據的特征�����,也使得API成為黑客攻擊的重點目標����,導致數據泄露事件頻發(fā)�����。
API管控不當導致數據泄露事件頻發(fā) 企業(yè)API安全建設勢在必行
? 2023年1月�,推特有2.35億用戶個人信息被泄露,其中包括用戶的姓名�、電子郵件地址���、Twitter 手柄�、粉絲數量和賬戶創(chuàng)建日期��;
? 美國通信巨頭T-Mobile被黑客通過未經授權的API����,非法獲得3700萬用戶個人信息;
? 法拉利、寶馬�����、勞斯萊斯�、保時捷等20家車企被爆出API安全漏洞,包括解鎖���、啟動和跟蹤汽車以及客戶個人信息被泄露……
隨著API安全造成的影響越來越大�����,API安全已受到了業(yè)界的廣泛關注,開放Web應用程序安全項目(OWASP)在2019年就將API列為最受關注的十大安全問題�����。在今年�����,OWASP API TOP 10進一步更新了API安全風險�,將“不受限訪問敏感業(yè)務(Bot防護)、服務端請求偽造����、API的不安全使用”列為新增的API安全風險����。
這些風險很大程度來源于企業(yè)API管控不當��,即企業(yè)不知道自身有多少API被開放��,使用是否受控,有怎樣的安全風險和隱患���,從而使得API變成了企業(yè)網絡安全薄弱的一環(huán)。
目前����,我國《網絡安全法》《個人信息保護法》《數據安全法》已正式施行�����,為各行業(yè)帶來了更大力度的合規(guī)監(jiān)管��,這促使企業(yè)必須加強API安全建設,保障數據安全��。
解決企業(yè)API管控亂象 瑞數信息推出全新API安全審計產品
瑞數API安全審計系統(tǒng)(API SecAudit)�����,以API資產管理為重點�、API安全審計為核心���,幫助企業(yè)自動發(fā)現(xiàn)API資產����、檢測API安全攻擊���、識別API請求中的敏感數據�、監(jiān)測API運行狀態(tài)、審計API訪問行為����、識別API應用缺陷�����,提供豐富的API安全審計報告���。
API安全審計系統(tǒng)技術獨特性如下:
l 資產發(fā)現(xiàn)
支持從Swagger文件���、表格等導入API資產���,也可以通過對API流量分析,自動發(fā)現(xiàn)流量中的網站、端口�、API資產和敏感接口等�,支持自定義API 接口規(guī)則��,快速�����、精準地進行API資產發(fā)現(xiàn)����、API接口樣式提取并提供API接口可視化展示��,支持API接口分類、分組并指派責任人�,實現(xiàn)數據分權管理�。
l 安全檢測
支持對OWASP API Security Top10安全攻擊的檢測�����,從海量訪問中快速發(fā)現(xiàn)和定位安全風險事件;通過AI技術實現(xiàn)API參數自學習和調用順序自學習��,滿足合規(guī)檢測要求����,內置各種業(yè)務威脅模型�,快速應對諸如爬蟲�、撞庫等各類業(yè)務威脅�����。
l 行為檢測
對API接口的請求、響應、參數和返回值等進行記錄和分析,建立API訪問基線�����,識別偏離基線和異常的訪問行為�����,如:高頻訪問����、內網應用訪問互聯(lián)網等;同時�����,自動識別Bot訪問行為��,對Bot類型進行分類,更有效地實現(xiàn)訪問行為審計���,從而及時發(fā)現(xiàn)和解決問題,保證API接口的正常訪問��。
l 數據合規(guī)
內置敏感數據檢測引擎�,覆蓋姓名、手機號��、身份證��、銀行卡���、密碼等上百種敏感數據類型�����,內置電信和金融行業(yè)數據分級�,支持敏感數據自動分級��,實時洞察API接口中雙向傳輸的敏感數據��、明文密碼和弱密碼等數據泄漏風險�,對API接口傳輸的敏感數據進行記錄�����、分析和審查����,以保證敏感數據的安全傳輸�。
l 統(tǒng)計分析
瑞數API安全審計系統(tǒng)內置豐富的API安全報表,底層還提供了大數據分析平臺����,無需二次開發(fā),根據用戶的個性化需求�,快速生成報表,所見即所得����。
l 聯(lián)防聯(lián)控
瑞數API安全審計系統(tǒng)提供了豐富的API接口,同時支持與kafka對接���,實現(xiàn)與安全設備的聯(lián)動�����,達到聯(lián)防聯(lián)控的目的�����。
助力中國API安全建設 瑞數API安全產品在多行業(yè)應用
瑞數信息作為國內首批具備“云原生API安全能力+WAAP能力”認證的專業(yè)廠商�����,連續(xù)多年入選Gartner、IDC等全球知名咨詢機構評選的中國API領域代表廠商,充分展現(xiàn)了在API領域的強勁技術實力和市場表現(xiàn)����。目前�����,瑞數API安全解決方案已廣泛應用在金融、零售�、醫(yī)療����、政府���、運營商等多個行業(yè)中���。此次推出的瑞數API審計系統(tǒng)同樣適用于各行業(yè)�����,尤其是有大量API應用�,但防護手段單一、迫切需要API安全解決方案的企業(yè)。
作為國內最早推出API安全解決方案之一的廠商����,瑞數信息于2019年就推出具有API感知�����、發(fā)現(xiàn)�����、監(jiān)控���、保護能力的API安全解決方案��,并形成了瑞數API安全管控平臺(API BotDefender)���,包括API資產管理�、攻擊防護、敏感數據管控和訪問行為管控四大模塊����,為API接口提供完整的安全管控方案�。如今�,瑞數API審計系統(tǒng)正是瑞數API安全系列產品家族中的重要一員。
在API安全日益重要的今天����,瑞數API安全審計系統(tǒng)的推出,能夠更好地幫助企業(yè)應對未知威脅�、發(fā)現(xiàn)API安全風險和缺陷�,保證業(yè)務的正常高效運轉�。未來瑞數信息還將持續(xù)創(chuàng)新技術、產品和服務��,進一步提升API安全能力��,為企業(yè)有效抵御新興威脅��、合規(guī)建設應用安全和數據安全打下堅實基礎�����。
申請創(chuàng)業(yè)報道�,分享創(chuàng)業(yè)好點子。點擊此處����,共同探討創(chuàng)業(yè)新機遇!
